Active Directory

Published on June 2016 | Categories: Types, School Work | Downloads: 92 | Comments: 0 | Views: 1191
of 116
Download PDF   Embed   Report

Hướng dẫn update AD cho MS Windows Server

Comments

Content

VIỆN ĐẠI HỌC MỞ HÀ NỘI
KHOA CÔNG NGHỆ TIN HỌC

BÀI TẬP LỚN
Môn: Quản trị mạng

Đề tài (06):
Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2008

Sinh vieân thöïc hieän:


Quàng Văn Liêm



Lớp: 08B6

Giaùo vieân höôùng daãn: Đinh Tuấn Long

Hà Nội - 2010

Active Directory – Windows Server 2008

MỤC LỤC
I.

Giới thiệu về Active Directory (DC)...........................................................................................................3
1.1 Active Directory là gì ?........................................................................................................................3
1.2 Tại sao cần thực thi Active Directory?.................................................................................................3
1.3 Những đơn vị cơ bản của Active Directory..........................................................................................4
1.3.1
Directory.......................................................................................................................................4
1.3.2
Domain..........................................................................................................................................4
1.3.3
Domain Controller........................................................................................................................5
1.3.4
Forest.............................................................................................................................................5
1.3.5
Organizational unit.......................................................................................................................5
1.3.6
Object (đối tượng).........................................................................................................................5
1.3.7
Schema..........................................................................................................................................6
1.3.8
Site.................................................................................................................................................6
1.3.9
Tree (cây).......................................................................................................................................6
1.3.10 Trust...............................................................................................................................................6
1.3.11 Infrastructure Master và Global Catalog.....................................................................................6
1.3.12 LDAP.............................................................................................................................................7
1.3.13 Sự quản lý Group Policiy..............................................................................................................8
1.4 Các dịch vụ của Active Directory.........................................................................................................9
1.4.1
Active Directory Domain Services (AD DS).................................................................................9
1.4.2
Active Directory Federation Services (AD FS)...........................................................................10
1.4.3
Active Directory Lightweight Directory Services (AD LDS).......................................................11
1.4.4
Active Directory Rights Management Services (AD RMS).........................................................12
1.4.5
Active Directory Certificate Services (AD CS)...........................................................................12
II. Các thao tác quản trị với Active Directory................................................................................................13
1.5 Cài đặt và các thao tác quản trị với Active Directory Domain Services...........................................13
1.5.1
Các bước chuẩn bị cài đặt..........................................................................................................13
1.5.2
Cài đặt dịch vụ Active Directory Domain Services.....................................................................19
1.5.3
Cài đặt domain đầu tiên (Domain chính)....................................................................................24
1.5.4
Thêm một DC khác vào Domain.................................................................................................35
1.5.5
Thêm một domain dựa trên domain chính đã tồn tại.................................................................37
1.5.6
Hạ DC xuống client.....................................................................................................................38
1.5.7
Quản lý User, Group và Organizational Unit (OU)....................................................................39
1.5.8
Kết nối máy Client vào Domain........................................................................................55
1.6 Cài đặt và các thao tác quản trị với Active Directory Federation Services (AD FS).........................61
1.6.1
Các tác vụ cần thực hiện trước khi cài đặt ADFS.........................................................61
1.6.2
Cài đặt role ADFS và cấu hình certificate.....................................................................61
1.6.3
Cấu hình web server............................................................................................................61
1.6.4
Cấu hình federation server................................................................................................61
1.6.5
Truy cập ứng dụng từ máy client.....................................................................................61

Trang 2

Active Directory – Windows Server 2008

I.

Giới thiệu về Active Directory (DC)
1.1 Active Directory là gì ?
Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản

quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows. Giống như
các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory
là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người
dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục
khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng
được phân bổ theo một kiểu nào đó.
Nói cách khác Active Directory là một cơ sở dữ liệu với các chức năng như:
 Lưu trữ thông tin về tài khoản người dùng và các tài nguyên mạng máy tính.
 Xác định tính hợp lệ của người truy cập tài nguyên mạng.
 Lưu trữ thông tin mạng máy tính như là các đối tượng trong một cấu trúc phân
cấp.
Ngoài ra nó còn cung cấp:
 Sự quản lý tập trung
 Các khả năng tìm kiếm nâng cao.
 Ủy quyền đại diện
Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang
tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng.
1.2 Tại sao cần thực thi Active Directory?
Có một số lý do để lý giải cho câu hỏi trên. Microsoft Active Directory được xem như
là một bước tiến triển đáng kể so với Windows NT Server 4.0 domain hay thậm chí các mạng
máy chủ standalone. Active Directory có một cơ chế quản trị tập trung trên toàn bộ mạng. Nó
cũng cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều
domain controller được triển khai trong một domain.

Trang 3

Active Directory – Windows Server 2008

Active Directory sẽ tự động quản lý sự truyền thông giữa các domain controller để bảo
đảm mạng được duy trì. Người dùng có thể truy cập vào tất cả tài nguyên trên mạng thông
qua cơ chế đăng nhập một lần. Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế
bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn
của mỗi truy cập đối với tài nguyên.
Active Directory cho phép tăng cấp, hạ cấp các domain controller và các máy chủ
thành viên một cách dễ dàng. Các hệ thống có thể được quản lý và được bảo vệ thông qua các
chính sách nhóm Group Policies. Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép
quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị. Quan trọng nhất vẫn là Active Directory
có khả năng quản lý hàng triệu đối tượng bên trong một miền.
1.3 Những đơn vị cơ bản của Active Directory
1.3.1 Directory

Là một kho lưu trữ duy nhất để biết thông tin về người dùng và các tài nguyên trong
một tổ chức. Active Directory là một loại thư mục chứa các thuộc tính và thông tin liên lạc
cho một loạt các nguồn tài nguyên trong mạng để người dùng và các quản trị viên cũng có thể
tìm thấy chúng dễ dàng.
1.3.2 Domain

Là đơn vị chức năng nòng cốt của cấu trúc logic Avtive Directory. Nó là phương tiện
để quy định tập hợp những người dùng, máy tính, tài nguyên, chia sẻ có những quy tắc bảo
mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các server dễ dàng hơn. Domain
đáp ứng 3 chức năng chính như sau:
- Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là tập hợp
các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung 1 cơ sở dữ liệu thư mục, các
chính sách bảo mật, các quan hệ ủy quyền, chính sách bảo mật, các quan hệ ủy quyền với các
domain khác.
- Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ.

Trang 4

Active Directory – Windows Server 2008

- Cung cấp các server dự phòng làm chức năng điều khiển vùng (domain Controller), đồng
thời đảm bảo các thông tin trên các server này được đồng bộ với nhau
1.3.3 Domain Controller

Một domain controller giữ các thông tin bảo mật và cơ sở dữ liệu đối tượng directory
cho một domain cụ thể và có trách nhiệm xác thực các đối tượng trong phạm vi kiểm soát của
họ. Nhiều domain controller có thể được liên kết với một domain nhất định, và mỗi domain
controller giữ vai trò quết định trong domain, tất cả các domain controller trong một miền là
bình đằng về quyền lực. Điều cho thấy sự cái tiến so với các nhãn chính và dự phòng được
phân công cho domain controller trong Windows NT.
1.3.4 Forest

Forest là một bộ phận chứa đựng logic lớn nhất trong Active Directory Domain
Services và bao gồm tất cả các domain thộc phạm vi hoạt động của nó, tất cả đều liên kết với
nhau thông qua ủy thác bắc cầu được xây dựng tự động. Bằng cách này, tất cả các domain
trong một forest tự động ủy thác các domain khác trong forest.
Các Forest không bị hạn chế theo địa lý hoặc topo mạng. Một forest có thể gồm nhiều
miền, mỗi miền lại chia sẻ một lược đồ chung. Các thành viên miền của cùng một forest thậm
chí không cần có kết nối LAN hoặc WAN giữa chúng. Mỗi một mạng riêng cũng có thể là
một gia đình của nhiều forest độc lập. Nói chung, một forest nên được sử dụng cho mỗi một
thực thể. Mặc dù vậy, vẫn cần đến các forest bổ sung cho việc thực hiện test và nghiên cứu
các mục đích bên ngoài forest tham gia sản xuất
1.3.5 Organizational unit

Nhóm các mục trong domain nào đó. Chúng tạo nên một kiến trúc phân cấp cho
domain và tạo cấu trúc tổ chức của Active Directory theo các điều kiện tổ chức và địa lý.
1.3.6 Object (đối tượng)

Trong Active Directory Domain Services, một object có thể là một phần của direcrory,
có thể là một user, một group, một thư mục chia sẻ, một máy in, một liên hệ, và thậm chí là
cả một organizational units. Object là thực thể duy nhất trong directory của bạn mà có thể
quản lý trực tiếp.

Trang 5

Active Directory – Windows Server 2008

1.3.7 Schema

Các schema trong Active Directory Domain Services là cấu trúc thực tế của các cơ sở
dữ liệu – các trường. Các loại thông tin khác nhau được lưu trong Active Directory Domain
Services được gọi là thuộc tính. Schema của Active Directory Domain Services cũng hỗ trợ
chuẩn theo lớp, hoặc kiểu của object. Lớp mô tả một object và các tài sản liên quan được yêu
cầu để tạo ra một phiên bản của đối tượng. Ví dụ các đối tượng user là minh họa của lớp user.
1.3.8 Site

Là tập hợp các máy tính ở các vị trí địa lý khác nhau, được kết nối tối thiểu qua một
liên kết. Site thường được dùng để xác định cách điều khiển domain được cập nhật liên tục.
Active Directory Domain Services sẽ lựa chọn phương pháp của nó để phân phối các bản cập
nhật (một quá trình gọi là tái tạo lại) dựa vào cách bạn cấu hình một site để giữ cho sự lưu
thông qua một liên kết WAN là đỡ tốn kém nhất.
1.3.9 Tree (cây)

Cây là một tập hợp các domain mà bắt đầu từ một gốc duy nhất và rẽ nhánh ra ngoại
vi, domain con. Cây có thể được liên kết với nhau trong forest. Và cây cũng chia sẻ một DNS
tên miền không gian liên tục.
1.3.10 Trust

Trust trong Active Directory Domain Services là một phương pháp giao tiếp an toàn
giữa các domain, tree, forest. Cũng giống như chúng từng làm việc trong Windows NT, trust
cho phép người dùng trong một Active Directory Domain Services domain phải xác thực để
điều khiển miền khác trong vùng khác, domain khác trong directory. Trust chỉ có thể đi theo
một chiều (từ A đến B, không thể từ B đến A), bắc cầu ( A trust B và B trust C, do đó A trust
C), hoặc liên kết ngang (A đến C và B đến D).
1.3.11 Infrastructure Master và Global Catalog

Một thành phần chính khác bên trong Active Directory là Infrastructure Master.
Infrastructure Master (IM) là một domain-wide FSMO (Flexible Single Master of
Operations) có vai trò đáp trả trong quá trình tự động để sửa lỗi (phantom) bên trong cơ sở dữ
liệu Active Directory.

Trang 6

Active Directory – Windows Server 2008

Phantom được tạo ra trên các DC, nó yêu cầu một sự tham chiếu chéo cơ sở dữ liệu
giữa một đối tượng bên trong cơ sở dữ liệu riêng và một đối tượng từ miền bên trong forest.
Ví dụ có thể bắt gặp khi bạn bổ sung thêm một người dùng nào đó từ một miền vào một
nhóm bên trong miền khác có cùng forest. Phantom sẽ bị mất hiệu lực khi chúng không chứa
dữ liệu mới cập nhật, điều này xuất hiện vì những thay đổi được thực hiện cho đối tượng bên
ngoài mà Phantom thể hiện, ví dụ như khi đối tượng mục tiêu được đặt lại tên, chuyển đi đâu
đó giữa các miền, hay vị xóa. Infrastructure Master có khả năng định vị và khắc phục một số
phantom. Bất cứ thay đổi nào xảy ra do quá trình sửa lỗi đều được tạo bản sao đến tất cả các
DC còn lại bên trong miền.
Infrastructure Master đôi khi bị lẫn lộn với Global Catalog (GC), đây là thành phần
duy trì một copy chỉ cho phép đọc đối với các domain nằm trong một forest, được sử dụng
cho lưu trữ nhóm phổ dụng và quá trình đăng nhập,… Do GC lưu bản copy không hoàn chỉnh
của tất cả các đối tượng bên trong forest nên chúng có thể tạo các tham chiếu chéo giữa miền
không có nhu cầu phantom.
1.3.12 LDAP

LDAP (Lightweight Directory Access Protocol) là một phần của Active Directory, nó
là một giao thức phần mềm cho phép định vị các tổ chức, cá nhân hoặc các tài nguyên khác
như file và thiết bị trong mạng, dù mạng của bạn là mạng Internet công cộng hay mạng nội
bộ trong công ty.
Trong một mạng, một thư mục sẽ cho bạn biết được nơi cất trữ dữ liệu gì đó. Trong các
mạng TCP/IP (gồm có cả Internet), domain name system (DNS) là một hệ thống thư mục
được sử dụng gắn liền tên miền với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng).
Mặc dù vậy, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm những cụ
thể mà không cần biết chúng được định vị ở đâu.
Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức dưới
đây:


Thư mục gốc có các nhánh con



Country, mỗi Country lại có các nhánh con

Trang 7

Active Directory – Windows Server 2008


Organizations, mỗi Organization lại có các nhánh con



Organizational units (các đơn vị, phòng ban,…), OU có các nhánh



Individuals (cá thể, gồm có người, file và tài nguyên chia sẻ, chẳng hạn như

printer)
Một thư mục LDAP có thể được phân phối giữa nhiều máy chủ. Mỗi máy chủ có thể
có một phiên bản sao của thư mục tổng thể và được đồng bộ theo chu kỳ.
Các quản trị viên cần phải hiểu LDAP khi tìm kiếm các thông tin trong Active
Directory, cần tạo các truy vấn LDAP hữu dụng khi tìm kiếm các thông tin được lưu trong cơ
sở dữ liệu Active Directory.
1.3.13 Sự quản lý Group Policiy

Khi nói đến Active Directory chắc chắn chúng ta phải đề cập đến Group Policy. Các
quản trị viên có thể sử dụng Group Policy trong Active Directory để định nghĩa các thiết lập
người dùng và máy tính trong toàn mạng. Thiết lập này được cấu hình và được lưu trong
Group Policy Objects (GPOs), các thành phần này sau đó sẽ được kết hợp với các đối tượng
Active Directory, gồm có các domain và site. Đây chính là cơ chế chủ yếu cho việc áp dụng
các thay đổi cho máy tính và người dùng trong môi trường Windows.
Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục các thiết
lập desktop trên các máy tính người dùng, hạn chế hoặc cho phép truy cập đối với các file
hoặc thư mục nào đó bên trong mạng.
Thêm vào đó chúng ta cũng cầm phải hiểu GPO được sử dụng như thế nào. Group
Policy Object được áp dụng theo thứ tự sau: Các chính sách máy nội bộ được sử dụng trước,
sau đó là các chính sách site, chính sách miền, chính sách được sử dụng cho các OU riêng. Ở
một thời điểm nào đó, một đối tượng người dùng hoặc máy tính chỉ có thể thuộc về một site
hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên kết với site hoặc miền đó.
Các GPO được phân chia thành hai phần riêng biệt: Group Policy Template (GPT) và
Group Policy Container (GPC). Group Policy Template có trách nhiệm lưu các thiết lập được
tạo bên trong GPO. Nó lưu các thiết lập trong một cấu trúc thư mục và các file lớn. Để áp

Trang 8

Active Directory – Windows Server 2008

dụng các thiết lập này thành công đối với tất cả các đối tượng người dùng và máy tính, GPT
phải được tạo bản sao cho tất cả các DC bên trong miền.
Group Policy Container là một phần của GPO và được lưu trong Active Directory trên
các DC trong miền. GPC có trách nhiệm giữ tham chiếu cho Client Side Extensions (CSEs),
đường dẫn đến GPT, đường dẫn đến các gói cài đặt và những khía cạnh tham chiếu khác của
GPO. GPC không chứa nhiều thông tin có liên quan đến GPO tương ứng với nó, tuy nhiên nó
là một thành phần cần thiết của Group Policy. Khi các chính sách cài đặt phần mềm được cấu
hình, GPC sẽ giúp giữ các liên kết bên trong GPO. Bên cạnh đó nó cũng giữ các liên kết quan
hệ khác và các đường dẫn được lưu trong các thuộc tính đối tượng. Biết được cấu trúc của
GPC và cách truy cập các thông tin ẩn được lưu trong các thuộc tính sẽ rất cần thiết khi bạn
cần kiểm tra một vấn đề nào đó có liên quan đến GP.
1.4 Các dịch vụ của Active Directory
1.4.1 Active Directory Domain Services (AD DS)

Active Directory Domain Services (AD DS), trước đây được biết tới với tên gọi Active
Directory Directory Services, là một khu vực để tập trung thông tin cấu hình, các yêu cầu xác
thực và thông tin về tất cả những đối tượng được lưu trữ trong phạm vi hệ thống của bạn.
Dùng Active Directory, bạn có thể quản lý một cách hiệu quả các người dùng, máy tính,
nhóm làm việc, máy in, ứng dụng và các đối tượng khác theo thư mục từ một khu vực tập
trung và bảo mật. Những tính năng nâng cao đối với AD DS trong Windows Server 2008 bao
gồm:
 Auditing: Những thay đổi được thực hiện đối với các đối tượng trong Active
Directory có thể được lưu lại để bạn biết được những thay đổi diễn ra đối với đối
tượng đó, cũng như các giá trị mới và giá trị cũ của những thuộc tính đã thay đổi.
 Fine-Grained Passwords: Có thể cấu hình các chính sách về mật khẩu cho các
nhóm phân biệt nằm trong domain. Mỗi tài khoản trong phạm vi domain sẽ không
còn phải sử dụng cùng một chính sách về mật khẩu nữa.
 Read-Only Domain Controller: Là một Domain Controller với cơ sở dữ liệu
Active Directory ở dạng chỉ đọc. Dịch vụ này giúp bạn tạm bảo mật được đối với

Trang 9

Active Directory – Windows Server 2008

những nơi mà bảo mật chưa được đảm bảo cao độ, chẳng hạn như các văn phòng.
Read-Only Domain Controller không cho phép các domain controller ở cấp thấp
hơn thực hiện những thay đổi lên Active Directory. Sử dụng Read-Only Domain
Controllers (RODCs) không cho những thay đổi diễn ra tại khu vực chi nhánh có
thể gây hại hoặc đánh sập AD forest của bạn thông qua quá trình sao chép. Nhờ có
RODC, cũng không cần thiết phải sử dụng một site trung gian cho các domain
controller tại văn phòng chi nhánh, hoặc không cần gửi đĩa cài đặt và người quản trị
domain tới khu vực văn phòng chi nhánh.
 Restartable Active Directory Domain Services: đặc điểm này giúp bạn khởi động
lại AD DS trong khi vẫn giữ nguyên trạng thái hoạt động của Domain Controller,
giúp bạn hoàn thành những thao tác offline môt cách nhanh chóng
 Database Mounting Tool: Một snapshot trong cơ sở dữ liệu Active Directory có
thể được đưa vào bằng công cụ này. Điều này cho phép người quản trị domain quan
sát các đối tượng nằm trong snapshot để xác định những yêu cầu liên quan tới việc
khôi phục khi cần thiết.
1.4.2 Active Directory Federation Services (AD FS)

Active Directory Federation Services (AD FS) là một giải pháp cho phép người dùng
truy cập các ứng dụng web chỉ cần một lần đăng nhập cho dù người dùng và ứng dụng nằm
trong các mạng hoặc tổ chức hoàn toàn khác nhau.
Thông thường khi một ứng dụng thuộc một mạng và người dùng thuộc một mạng khác,
người dùng được yêu cầu nhập một tài khoản thứ hai để truy cập ứng dụng (đăng nhập thứ
cấp).
Với ADFS người dùng không còn được yêu cầu đăng nhập thứ cấp bằng tài khoản thứ hai
này nữa bởi mối quan hệ tin cậy đã được thiết lập giữa các mạng. Trong môi trường liên đoàn
(federated), mỗi tổ chức tiếp tục quản lý các tài khoản riêng của mình nhưng mỗi tổ chức vẫn
có thể bảo vệ ứng dụng và thừa nhận tài khoản truy cập từ các tổ chức khác.
Quá trình xác thực một mạng trong khi truy cập tài nguyên của một mạng khác mà không bắt

Trang 10

Active Directory – Windows Server 2008

người dùng phải đăng nhập thứ cấp gọi là single sign-on (SSO). ADFS hỗ trợ giải pháp SSO
trên nền web trong một phiên làm việc của người dùng.
Đối với ADFS có hai loại tổ chức:
- Tổ chức tài nguyên (resource organization): là tổ chức đang sở hữu và quản lý tài nguyên có
thể được truy cập từ các đối tác tin cậy.
- Tổ chức tài khoản (account organization): là tổ chức đang sở hữu và quản lý tài khoản có
thể truy cập tài nguyên từ các tổ chức tài nguyên ở trên.
1.4.3

Active Directory Lightweight Directory Services (AD LDS)

Active Directory Lightweight Directory Service (AD LDS), trước đây được biết đến
với tên gọi Active Directory Application Mode, có thể được sử dụng để đem tới các dịch vụ
thư mục hoặc các ứng dụng theo thư mục. Thay vì sử dụng cơ sở dữ liệu AD DA của tổ chức,
bạn có thể sử dụng AD LDS để lưu trữ dữ liệu. AD LDS có thể sử dụng kết hợp với AD DS
để mang tới cho bạn một khu vực tập trung dành cho các tài khoản bảo mật (AD DS) và một
khu vực khác để hỗ trợ cấu hình ứng dụng và dữ liệu thư mục (AD LDS). Sử dụng AD LDS,
bạn có thể: giảm bớt các chi phí liên quan tới việc sao chép Active Directory; không cần mở
rộng lược đồ Active Directory để hỗ trợ ứng dụng; và có thể phân vùng cấu trúc thư mục sao
cho dịch vụ AD LDS chỉ được triển khai tới những máy chủ cần hỗ trợ các ứng dụng theo thư
mục. Những đặc tính nâng cao đối với AD LDS trong Windows Server 2008 bao gồm:


Cài đặt từ Media Generation: Khả năng tạo các phương tiện cài đặt cho AD

LDS bằng Ntdsutil.exe hoặc Dsdbutil.exe.


Kiểm toán: Kiểm tra những giá trị đã thay đổi trong phạm vị dịch vụ thư mục.



Database Mounting Tool: Cho phép bạn xem dữ liệu trong phạm vi các

snapshot của file cơ sở dữ liệu.


Active Directory Sites and Services Support: Cho phép bạn sử dụng các

Active Directory Sites and Services để quản lý việc sao lại những thay đổi dữ liệu của
AD LDS.

Trang 11

Active Directory – Windows Server 2008


Dynamic List of LDIF files: Với đặc tính này, bạn có thể liên kết các file LDIF

tùy biến với các file LDIF mặc định hiện có được dùng để thiết lập AD LDS trên một
máy chủ.


Recursive Linked-Attribute Queries: Các truy vấn LDAP có thể theo những

đường dẫn có cấu trúc mạng lưới của thuộc tính để xác định các tính chất bổ xung của
thuộc tính, như là thành viên nhóm.
1.4.4

Active Directory Rights Management Services (AD RMS)

Là dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS (AD RMS –
enable application), nhằm bảo vệ dữ liệu quan trọng ( báo cáo tài chính,thông tin khách
hàng,đơn hàng,sổ sách kê khai kế toán .v..v.) trước những đối tượng người dùng không được
phép (unauthorized users).Với AD RMS, bạn có thể xác định những ai có thể thực hiện các
thao tác như xem, chỉnh sửa, in ấn…, trên dữ liệu của mình.
1.4.5

Active Directory Certificate Services (AD CS)

Là một dịch vụ được dùng để sinh ra và quản lý các certificate trên những hệ thống sử
dụng công nghệ public key. Bạn có thể sử dụng AD CS để tạo ra các máy chủ chúng thực CA
( Certification Authorities). Các CA có tác dụng nhận yêu cầu về chứng thực, sau đó xử lý và
gửi các chứng thực đó về lại cho đối tượng đã gửi yêu cầu. Những tính năng nâng cao đối với
AD CS trong Windows Server 2008 bao gồm:
 Enrollment Agent Templates: Có thể gán các delegated enrollment agent
theo mỗi template
 Integrated Simple Certificate Enrollment Protocol (SCEP): Các chứng
nhận có thể được cấp tới thiết bị mạng, chẳng hạn các bộ định tuyến.
 Online Responder: Có thể gửi lại các mục Certificate Revocation List
(CRL) tới người yêu cầu như một đáp ứng chứng nhận đơn nhất thay vì
toàn bộ CLR. Điều này giúp giảm bớt tổng lưu lượng mạng được sử dụng
khi các máy trạm thẩm định các chứng chỉ.
 Enterprise PKI (PKI View): Một công cụ quản lý mới cho AD CS, công
cụ này cho phép người quản trị Certificate Services quản lý các phân cấp

Trang 12

Active Directory – Windows Server 2008

Certification Authority (CA) để xác định tình trạng tổng thể của các CA
và dễ dàng khắc phục lỗi.
II.

Các thao tác quản trị với Active Directory
1.5 Cài đặt và các thao tác quản trị với Active Directory Domain Services
1.5.1

Các bước chuẩn bị cài đặt

 Yêu cầu về phần cứng
 Dung lượng ổ cứng còn trống tối thiều 250M và ở định dang NTFS
 Quyền quản trị


Bạn phải chắc chắn rằng bạn có đủ quyền để cài đặt dịch vụ mà bạn sắp tiền
hành cài đặt

 Khi cài đặt Active Directory trên Windows Server 2008, nên cài đặt DNS trước với
các thiết lập chuẩn.
 Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình.
 Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu
cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập
của mình vào trong DNS.
1.5.1.1

Đặt địa chỉ IP cho máy chủ

Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là 192.168.1.1, DNS
cũng là 192.168.1.1

Trang 13

Active Directory – Windows Server 2008

Hình 1.1
1.5.1.2

Cài đặt và cấu hình DNS

Chọn Start  Server Manager  Roles  DNS Server
Chuột phải tại mục Forward Lookup Zone  chọn New zone

Chọn Next tại cửa sổ kế tiếp và Chọn Primary Zone tại cửa sổ kế

Trang 14

Active Directory – Windows Server 2008

Trong cửa sổ kế bạn có thể chọn một trong 3 tùy chọn sau:
1. To all DNS server in this forest: Áp dụng với tất cả DNS server trong foresr này
2. To all DNS server in this domain: Áp dụng với tất cả DNS server trong domain
3. To all domain controllers in this domain: Áp dụng tới tất cả các domain
controller trong domain này
Sau đó chọn Next để tiếp tục

Trang 15

Active Directory – Windows Server 2008

Trình cài đặt yêu cầu bạn nhập tên cho zone mới. Nhập tên và chọn Next

Trong cửa sổ kế bạn chọn Allow both nonsecure and secure dynamic update đây là bắt
buộc để khi cài đặt Active Directory sẽ tự động ghi các Record vào DNS

Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS. Công việc của bạn chưa kết
thúc, bạn vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS.

Trang 16

Active Directory – Windows Server 2008

Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory, nhấp
đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên Zone vừa tạo ra

Chỉnh lại NS Record bằng cách tương tự.
Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa. Ở
đây tôi tạo ra một Host A record là Server01.fithou.net địa chỉ IP là 192.168.1.11.
Chuột phải vào vnexperts.net Zone chọn Host A record

Trang 17

Active Directory – Windows Server 2008

Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn:
Ping server01.fithou.net nếu có reply là thành công.

1.5.1.3

chú ý

 Nếu muốn bổ sung server này vào một forest đã tồn tại trên Windows Server
2000,Windows Server 2003 bạn phải cập nhật thông tin về forest bằng lệnh
adprep /forestprep
 Nếu muốn bổ sung server này vào một domain đã tồn tại trên Windows Server
2000,Windows Server 2003, bạn phải cập nhập thông tin về domain và group policy
bằng lệnh adprep /domainprep /gpprep

Trang 18

Active Directory – Windows Server 2008

 Nếu muốn cài đặt một Read-Only Domain Controller, bạn phải chuẩn bị forest bằng
lệnh adprep /rodcprep
1.5.2

Cài đặt dịch vụ Active Directory Domain Services

Ở Windows Server 2003, để cài đặt thêm các dịch vụ như DHCP,DNS …vào
Add/Remove Windows Components . Ở Windows Server 2008 được thay thế bằng công cụ
quản trị Server Manager với các Roles và Features.Vì mặc định Windows Server 2008 chưa
cài đặt các dịch vụ nên bạn phải cài đặt dịch vụ AD DS trước khi lên Domain Controller. Các
bước cài đặt cụ thể được trình bày dưới đây:


Vào Server Manager  Roles  Add Roles
Nhấn Next để tiếp tục

Tích vào Active Directory Domain Services và nhấn Next để tiếp tục trong bước tiếp

Trang 19

Active Directory – Windows Server 2008

Nhấn Next.Tại bảng Active Directory Domain Services giới thiệu cho bạn về dịch vụ
này và một số lưu ý khi cài đặt trong phần Things to Note

Trang 20

Active Directory – Windows Server 2008

Chọn Next để tiếp tục.Tại bảng Confirm Installation Selections sẽ yêu cầu bạn xác
nhận lần cuối trước khi cài đặt.Chọn Install

Trang 21

Active Directory – Windows Server 2008

Đợi cho đến khi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services

Trang 22

Active Directory – Windows Server 2008

Chọn Close để hoàn tất

Trang 23

Active Directory – Windows Server 2008

1.5.3 Cài đặt domain đầu tiên (Domain chính)

Các domain đầu tiên trong việc cài đặt Active Directory Domain Services là đặc biệt vì
một vài lý do: Nó sẽ trở thành domain controller đầu tiên cho domain mới và domain này sẽ
trở thành gốc của toàn bộ forest.
Các bước cài đặt cụ thể được thể hiện chi tiết dưới đây:


Vào Run gõ dcpromo và chọn OK

Trang 24

Active Directory – Windows Server 2008

Đợi trong vài giây để hệ thống kiểm tra đã cài đặt dịch vụ AD DS chưa. Tại bảng
Welcome to the Active Directory Domain Services Installation Wizard chọn Next

Tại bảng Operating System Compability sẽ cho bạn biết về tính tương thích của Windows
Server 2008. Nhấn Next để tiếp tục

Trang 25

Active Directory – Windows Server 2008

Tại bảng Choose a Deployment Configuration chọn Create a new domain in a new
forest để tạo một domain mới trên một forest mới và nhấn Next để tiếp tục

Trang 26

Active Directory – Windows Server 2008

Tại bảng Name the Forest Root Domain.Tại ô FQDN of the forest root domain gõ tên
domain vào.Sau đó chọn Next và chờ vài giây để hệ thống kiểm tra tên domain đã sử dụng
chưa (ví dụ: fithou.net).

Trang 27

Active Directory – Windows Server 2008

Tại bảng Set Forest Functional Level, nên chọn phiên bản Windows Server 2008 để tận
dụng hết tính năng. Sau đó chọn Next để tiếp tục.

Trang 28

Active Directory – Windows Server 2008

Tại bảng Additional Domain Controller Options, hệ thống đã kiểm tra xem thử dịch vụ
DNS Server đã có chưa, và tự động đánh dấu cài đặt DNS Server. Lưu ý là bạn không thể cài
đặt Read-only domain controller trên DC đầu tiên này. Sau đó nhấn Next để tiếp tục.
Lưu ý: Bạn có thể nhận được một cảnh báo bạn nếu máy của bạn hiện tại đang cấu
hình để sử dụng địa chỉ IP động. Đối với kết quả tốt nhất, các máy chủ DNS nên sử dụng địa
chỉ IP tĩnh, do đó, nó sẽ cho bạn một cơ hội để sử dụng địa chỉ IP tĩnh. Tiếp theo, bạn có thể
nhận được một cảnh báo về DNS không thể tìm thấy một khu cấp cao có thẩm quyền. Điều
này chỉ thích hợp cho bạn nếu bạn đang cài đặt một bộ điều khiển domain trong một môi
trường hoàn toàn đã được thiết lập. Vì chúng ta đang cài đặt DNS từ đầu trong tiến trình này,
chúng ta có thể bỏ qua nó.

Trang 29

Active Directory – Windows Server 2008

Chọn Next. Tại bảng Location for Database, Log File, and SYSVOL cho phép bạn
thiết lập đường dẫn của database, log file và sysvol. Hãy để mặc định trong C:\Windows

Trang 30

Active Directory – Windows Server 2008

Chọn Next để tiếp tục. Tại bảng Directory Services Restore Mode Administrator
Password, thiết lập password. Lưu ý, password này không phải là password của tài khoản
Administrator trong domain và password phải theo kiểu complexity (gồm các kí tự
a,A,@,1….). Ví dụ chọn password là pass@word1

Trang 31

Active Directory – Windows Server 2008

Chọn Next. Tại bảng Summary cho bạn biết thông tin mà bạn đã thiết lập ở trên. Nếu
đã đúng và đầy đủ, chọn Next để thực hiện việc cài đặt

Trang 32

Active Directory – Windows Server 2008

Đợi hệ thống cài đặt xong chọn Finish để kết thúc quá trình cài đặt

Trang 33

Active Directory – Windows Server 2008

Bạn phải khởi động lại server để việc cài đặt có hiệu lực

Kiểm tra hệ thống

Trang 34

Active Directory – Windows Server 2008

1.5.4

Thêm một DC khác vào Domain

Để máy chủ Domain Controller mới hoạt động với chức năng tương đương với máy
chủ Domain Controller đầu tiên phải đáp ứng:
 Cung cấp giải pháp tên miền DNS cho các máy Client
 Cung cấp xác thực và các dữ liệu liên quan khác tới dữ liệu Active Directory.
Máy chủ đầu tiên chứa toàn bộ dữ liệu DNS và các thiết lập khác trên DNS. Để máy
chủ thứ hai này cũng có khả năng đáp ứng các yêu cầu DNS của Client chúng ta cần phải tạo
một bản sao bao gồm dữ liệu DNS giống hệt máy chủ đầu tiên. Các bước thực hiện như sau:
 Bước 1: Cấu hình trên máy chủ dc1.fithou.net cho phép máy khác tạo Secondary Zone
từ máy chủ này.
Chọn Start  Server Manager  Roles  DNS Server

Trang 35

Active Directory – Windows Server 2008

Chuột phải tại mục Forward Lookup Zone Trong cửa sổ DNS chọn forward lookup
zone trong đó có Zone fithou.net đã tạo ra trong phần 1.5.1.2. Chuột phải vào tab Zone
Tranfers.
Chọn Allow Zone Transfers có 3 options cho bạn lựa chọn:
1. to any server: cho tất cả các máy tính đều lấy được dữ liệu DNS
2. Chỉ cho phép máy chủ nào trong NS record (mặc định khi nâng cấp lên Domain
Controller)
3. Chỉ cho phép các máy chủ dưới đây
Sau khi lựa chọn  OK để hoàn tất

 Bước 2: tạo Secondary Zone từ máy chủ khác chuẩn bị cài đặt làm Domain Controller
Cài đặt dịch vụ DNS như với DC đầu tiên (1.5.1.2). Nhưng chỉ khác là chọn
Secondary Zone

Trang 36

Active Directory – Windows Server 2008

 Bước 3: Đặt địa chỉ IP
Đặt địa chỉ DNS là địa chỉ DNS của máy chủ dc1.fithou.net – 192.168.1.11 và địa chỉ IP của
chính nó là 192.168.1.12

Trang 37

Active Directory – Windows Server 2008

Quá trình cài đặt DC thực hiện theo các bước như với domain đầu tiên chỉ khác trong phần
Domain Controller Type, bạn chọn: Additional domain controller for an existing domain

1.5.5 Thêm một domain dựa trên domain chính đã tồn tại

Chuẩn bị một máy tính cài Windows Server mới với tên dc3 có địa chỉ 192.168.100.13.
và máy chủ dc3 sẽ là domain controller của domain: java.fithou.net
tạo ra một Secondary Zone của DNS trên máy chủ dc3 mới và đặt địa chỉ IP và DNS
trước khi cài đặt Active Directory.


Đặt địa chỉ IP sao cho máy tính dc3 nhận biết được domain fithou.net

Quá trình cài đặt tiếp theo tương tự như đối với Domain đầu tiên (1.5.3), chỉ khác ở cửa sổ
Create a new domain bạn bắt buộc phải chọn Child domain in an existing domain tree
Và ở bước nhập tên Domain bạn nhập tên Parent domain là: fithou.net, và Child domain là:
java.

Trang 38

Active Directory – Windows Server 2008

các bước tiếp theo thực hiện tương tự.
Kiểm tra: Chúng ta có domain java.fithou.net

Trang 39

Active Directory – Windows Server 2008
1.5.6

Hạ DC xuống client

Các bước thực hiện cụ thể như sau:
1. Vào Run, gõ dcpromo
2. Tại bảng Welcome to Active Directory Domain Services Installation Wizard chọn
Next.
3. Tại bảng thông báo Global catalog server. Chọn OK.
4. Tải bảng Delete the Domain, chọn Delete the domain because is the last domain
controller in the domain.
5. Chọn Next. Tại bảng Confirm Deletion. Chọn Delete all application directory
partitions on this Active Directory domain controller.
6. Chọn Next. Tại bảng Administrator Password. Nhập password cho tài khoản
Administrator
7. Chọn Next. Tại bảng Summary, xem lại thông tin thiết lập
8. Chọn Next và đợi cho tới khi hệ thống yêu cầu Restart để thay đổi có hiệu lực.

1.5.7 Quản lý User, Group và Organizational Unit (OU)
1.5.7.1

Tạo User, Group và Organizational Unit

1.5.7.1.1 Tạo mới user

Các bước tạo user được thể hiện chi tiết dưới đây:
Mở Server Manager.Click Roles  Active Directory Domain Services  Active
Directory Users and Computers.Sau đó click vào domain.
Nhấp chuột phải vào User và chọn New  User

Trang 40

Active Directory – Windows Server 2008

Tại bảng New Object – User bạn điền đầy đủ các thông tin vào mục First name,Last
name,Full name.
Lưu ý : tại mục User logon name. Đây chính là tên tài khoản của bạn dùng để đăng nhập
vào hệ domain. Vì thế phải nhớ chính xác, và phải đảm bảo tính duy nhất. Hoàn tất và chọn
Next để tiếp tục.

Trang 41

Active Directory – Windows Server 2008

Tại bảng thiết lập password. Đây là mật khẩu của bạn ứng với tên tài khoản đã tạo ở
trên, dùng để đăng nhập vào domain.
Lưu ý là password phải thỏa mãn các chính sách mặc định của Windows Server 2008.
Password ít nhất là 7 kí tự và phải có các thành phần sau:
1.
2.
3.
4.

Các kí tự thường : a,b,c,d,e…..
Các kí tự in hoa : A,B,C,D,E….
Các chữ số : 1,2,3,4,5….
Các kí tự đặc biệt : @,!,$,&,#....

Ví dụ chọn password là: “hanoi1-vietnam”
Có 1 số tùy chọn đối với mật khẩu:
 User must change password at next logon: Bắt buộc người dùng phải thay đổi mật
khẩu trong lần đăng nhập kế tiếp.
 User cannot change password: Người dùng không được phép thay đổi mật khẩu.
 Passowrd never expires: Mật khẩu không bao giờ hết hạn.
 Acount is disabled: Tài khoản cấm sử dụng.
Hoàn tất và chọn Next để tiếp tục.

Trang 42

Active Directory – Windows Server 2008

Ở bảng tiếp theo là thông tin về user chuẩn bị được tạo. Chọn Finish để hoàn tất.

Tiếp theo, kiểm tra thử user đã được tạo. Click đúp vào User và kiểm tra

Trang 43

Active Directory – Windows Server 2008

1.5.7.1.2

Tạo mới group

Các bước tạo mới group được thể hiện chi tiết dưới đây:
Nhấp chuột phải vào User và chọn New  Group

Trang 44

Active Directory – Windows Server 2008

Tại ô Group name gõ tên group.
Có một số tùy chọn về phạm vi của nhóm và kiểu của nhóm, lựa chọn phù hợp và nhấn OK

Trang 45

Active Directory – Windows Server 2008

Kiểm tra group đã được tạo thành công.

1.5.7.1.3

Tạo Organizational Unit (OU)

Các bước tạo OU được thể hiện chi tiết dưới đây.
nhấp chuột phải vào tên domain, chọn New  Organizational Unit

Trang 46

Active Directory – Windows Server 2008

Gõ tên OU vào ô Name. Nếu bạn muốn cho phép thao tác xóa đươc thực hiện trên OU
này thì bỏ chọn vào mục Protect container from accidental deletion

Trang 47

Active Directory – Windows Server 2008

1.5.7.2
Thực hiện các nhiệm vụ quản trị thông dụng(Performing common
administrative tasks)
1.5.7.2.1 Thiết lập thời gian để user được phép đăng nhập vào domain.

Theo mặc định,user được phép đăng nhập 24/24. Để thiết lập lại ta thực hiện các thao
tác như sau:


Nhấp chuột phải vào user vừa tạo và chọn Properties



chuyển qua tab Account và chọn Logon Hours

Chọn khoảng thời gian và click vào ô Logon Denied để chặn thời gian truy cập của
user, sau đó chọn OK để hoàn tất
Hình dưới đây thể hiện cho thiết lập để user này chỉ truy cập được vào 8h sáng đến 19h
vào các ngày thứ 2 cho đến thứ 7.

Trang 48

Active Directory – Windows Server 2008

1.5.7.2.2 Thiết lập user đăng nhập sử dụng máy tính

Vì lí do bảo mật, không phải user nào cũng được đăng nhập vào các máy tính một cách
tùy ý. Để thiết lập tính riêng tư và chỉ định máy tính nào user được phép sử dụng thực hiện
theo các bước sau:
 Nhấp chuột phải vào user vừa tạo và chọn Properties


Vào tab Account, chọn Log On To

 Chọn The following computers


Gõ tên máy tính mà user được phép đăng nhập



Chọn Add.

 Nếu bạn muốn bỏ thì click vào tên máy tính và chọn Remove.
 Hoặc muốn sửa tên thì click vào tên máy tính và chọn Edit.


Kết thúc chọn OK để xác nhận

Trang 49

Active Directory – Windows Server 2008

Tại tab Account còn có các mục :
 Unlock Account: khi bạn muốn mở khóa tài khoản thì chọn ô này
 Account Options : thiết lập các chính sách về tài khoản.
 Account Expire : thời gian để một account tồn tại. Nếu bạn chọn End of và chọn
thời gian ở bên cạnh thì đến thời gian đó account sẽ hết hạn và sẽ mất.
1.5.7.2.3
Thêm user vào group
Để thêm user vào group thực hiện theo các bước sau:

 nhấp chuột phải vào group và chọn Properties
 Tại tab Member, chọn Add
 Tại ô Enter the object name to select bạn gõ tên user muốn đưa vào group.Lưu ý tên
user phải là tên bạn đã điền tại mục User logon name ở phần tạo user
 Sau khi gõ tên user bạn chọn Check Names để kiểm tra
Nếu tên tồn tại xuất hiện hộp thoại sau và OK để hoàn tất

Trang 50

Active Directory – Windows Server 2008

Nếu tên mà bạn nhập không tồn tại hộp thoại sau xuất hiện.

Trang 51

Active Directory – Windows Server 2008

Để thuận tiện hơn bạn có thể sử dụng chức năng Advance để tìm kiếm.
1.5.7.2.4

Chọn user quản lý group

Thực hiện theo các bước sau:
 nhấp chuột phải vào group và chọn Properties
 Chọn tab Managed By
 Chọn nút change và gõ tên vào ô name. Chọn OK để hoàn tất.

Trang 52

Active Directory – Windows Server 2008

1.5.7.2.5

Đưa group vào OU

Thực hiện theo các bước sau:

 Nhấp chuột phải vào tên group và chọn Move
 Chọn tên OU và OK để hoàn tất

Trang 53

Active Directory – Windows Server 2008

1.5.7.2.6

Xóa user, group hoặc OU

Thao tác rất đơn giản: nhấp chuột phải lên đối tượng và chọn Delete và chọn Yes

Trang 54

Active Directory – Windows Server 2008
1.5.7.3 Ủy quyền(Delegation)

Một trong những tính năng tố nhất của Active Directory Domain Services là khả năng
ủy quyền. Người quản trị sẽ thiết lập cho một số user được phép thực hiện một số quền quản
trị nào đó như: tạo mới hoặc xóa bỏ user, tạo hoặc xóa group, thiết lập lại mật khẩu cho
user…
Để thực hiện chức năng này làm theo các bước sau:
 Kích chuột phải vào tên domain  chọn Delegation of Control Wizard và
nhấn Next ở cửa sổ chào mừng

 Tại cửa sổ Delegation of Control Wizard  chọn Add sau đó nhập tên user,
group hoặc OU mà bạn muốn ủy quyền  Nhấn Check name sau đó OK và
chọn Next tại cửa sổ Delegation of Control Wizard để tiếp tục

Trang 55

Active Directory – Windows Server 2008

 Trong hộp thoai tiếp theo bạn chọn các quền mà bạn muốn ủy quền cho các đối
tượng đã chọn ở bước trước. Gồm có các quền sau:
o Create, delete, and manage user accounts: Tạo, hủy và quản lý tài khoản
o Reset user passwords and force password change at next logon: Thiết lập
lại mật khẩu và Chức năng thay đổi mật khẩu vào lần đăng nhập kế tiếp
o Read all user information: Xem tất cả thông tin về user
o Modify the membership of a group: Sửa đổi các thành viên trong một
nhóm
o Join a computer to a domain: Kết nối máy tính vào domain
o Manage Group Policy links: Quản lý các liên kết Group Policy
o Generate Resultant Set of Policy (Planning): Tạo các chính sách
o Generate Resultant Set of Policy (Logging): Tạo các chín sách đăng
nhập
o Create, delete, and manage inetOrgPerson accounts: Tạo, hủy và quản lý
tài khoản inetOrgPerson
o Reset inetOrgPerson passwords and force password change at next
logon: Thiết lập lại mật khẩu inetOrgPerson và thay đổi mật khẩu trong
lần đăng nhập kế tiếp
o Read all inetOrgPerson information: Xem tất cả các thông tin về
inetOrgPerson
 Sau khi đã chọn được các quền phù hợp  chọn Next để tiếp tục

Trang 56

Active Directory – Windows Server 2008

 Chọn Finish trong cửa sổ tiếp theo: Cho biết tên các đối tượng và các quyền
được ủy quền.

Trang 57

Active Directory – Windows Server 2008

1.5.8

Kết nối máy Client vào Domain

Sau khi đã triển khai thành công Active Directory Domain Services, tạo các user, group
và OU. Lúc này, công việc tiếp theo là join các máy trạm (client) vào domain . Ở đây thực
hiện môt tả việc kết nối máy chạy hệ điều hành Windows XP vào domain fithou.net
Các bước cụ thể được thể hiện sau đây:
 Trước tiên, thiết lập IP cho máy XP
Điền địa chỉ IP của client cùng lớp mạng với IP của server. Ở trong trường hợp này sử
dụng lớp C là 192.168.1.x .Tại mục Use the following DNS server addresses điền địa chỉ IP
của DNS Server mà bạn đã thiết lập lúc cài đặt DC .Trong trường hợp này là 192.168.1.1
Sau đó chọn OK.

 Nhấp chuột phải vào My Computer trên desktop và chọn Properties
Trên tab Computer Name, chọn Change để tiếp tục

Trang 58

Active Directory – Windows Server 2008

Tại hộp thoại Computer Name Changes Nhập tên máy  Đánh dấu vào domain
trong Member of và nhập tên domain. Ở đây là fithou.net sau đó chọn OK để kết thúc

Trang 59

Active Directory – Windows Server 2008

Vì tính bảo mật, hệ thống sẽ yêu cầu bạn đăng nhập vào domain , đăng nhập với
Username : Administrator

Sau khi đăng nhập thành công xuất hiện thông báo sau. Nhấn OK để tiếp tục

Tiếp theo hệ thống yêu cầu bạn phải khởi động lại máy để hoàn tất  chọn OK

Trang 60

Active Directory – Windows Server 2008

Sau khi khởi động lại máy. Hệ thống yêu cầu đăng nhập bạn nhấn tổ hợp Alt + Ctrl +
Delete để đăng nhập vào máy. Bạn chon logon to fithou.net để đăng nhập được vào domain

Có thể đăng nhập với bất kỳ tài khoản nào khi thỏa mãn tài khoản đó được đăng nhập
tại máy này và khoảng thời gian này (đã trình bày ở mục 1.5.7.2.1 và 1.5.7.2.2)

Trang 61

Active Directory – Windows Server 2008

Trong lần đăng nhập đầu tiên do chính sách được người quản trị thiết lập, bạn nhận được yêu
cầu thay đổi mật khẩu
Nhập mật khẩu và OK để hoàn tất việc đăng nhập

Kiểm tra bên máy DC.
Vào Server Manager  Roles  Active Directory Domain Services  Active Directory
Users and Computers  ict24h.net  Computers . Đã thấy tên máy máy XP có tên
MAY1 hiện diện trên domain

Trang 62

Active Directory – Windows Server 2008

1.6 Cài đặt và các thao tác quản trị với Active Directory Federation Services (AD FS)
1.6.1

Các tác vụ cần thực hiện trước khi cài đặt ADFS

Để mô phỏng trực quan ta thực hiện trên bốn máy với yêu cầu như sau:
Tên computer
MAY1

ADFS client/server role
Client

Hệ điều hành
- Windows XP SP2

IPv4/SM
192.168.1.2/24

- Windows Vista

DNS
- Preferred:
192.168.1.1
- Alternate:
192.168.1.13

DC1

Federation server and
domain controller

W2K8 Enterprise

192.168.1./24

192.168.1.1

WEB

Web server

W2K8 Enterprise

192.168.1.3/24

192.168.1.13

DC2

Federation server and
domain controller

W2K8 Enterprise

192.168.1.13/24

192.168.1.13

Các tác vụ cần thực hiện trước khi cài đặt ADFS:
 Install AD DS lên máy DC1, domain name fithou.net -> dc1.fithou.net. Domain
fithou.net đóng vai trò resource organization.

Trang 63

Active Directory – Windows Server 2008



Install AD DS lên máy DC2, domain name java.fithou.net -> DC2.java.fithou.net.
Domain java.fithou.net đóng vai trò account organization.

 Trên máy DC2:
o tạo security global group TreyClaimAppUsers
o tạo user u1, đưa u1 vào group TreyClaimAppUsers
 Join máy WEB vào domain 08b6.net ->WEB .08b6.net. Cài đặt IIS.
 Join máy MAY1 vào domain fithou.net -> MAY1.fithou.net

1.6.2

Cài đặt role ADFS và cấu hình certificate
1.6.2.1

Cài đặt ADFS

Lần lượt thực hiện trên 2 máy DC: DC1 và DC2. Sau khi cài Federation Service, 2
máy DC này trở thành federation server.
B1: Mở Server Manager -> Roles -> Add Roles -> Next
B2: Chọn Active Directory Federation Services -> Next -> Next

B3: Chọn Federation Service -> chọn Add Required Role services -> Next

Trang 64

Active Directory – Windows Server 2008

B4: Chọn Create a self-signed certificate for SSL encryption -> Next

B5: Chọn Create a self-signed token-signing certificate -> Next

Trang 65

Active Directory – Windows Server 2008

B6: Chọn Create a new trust policy -> Next -> Next

B7: Chọn Next -> Install -> Close

Trang 66

Active Directory – Windows Server 2008

1.6.2.2

Cấu hình IIS (SSL) trên 2 federation server

Lần lượt thực hiện trên 2 máy DC: DC1 và DC2.
B1: Mở IIS Manager -> DC2 -> Sites -> Default Web Site
B2: Double click SSL Settings

Trang 67

Active Directory – Windows Server 2008

B3: Chọn Require SSL, mục Client certificates chọn Accept -> Apply

1.6.2.3

Cài đặt AD FS Web Agent

Thực hiện trên máy Web server (MAY2).
B1: Mở Server Manager -> Roles -> Add Roles -> Next
B2: Chọn Active Directory Federation Services -> Next -> Next

Trang 68

Active Directory – Windows Server 2008

1.6.3

Cấu hình web server

Thực hiện trên máy Web server (WEB).
B1: Mở Server Manager -> Roles -> Add Roles -> Next
B2: Chọn Active Directory Federation Services -> Next -> Next

B3: Chọn Claims-aware Agent -> Next -> Install -> Close

B4: Add thêm role service Client Certificate Mapping Authentication vào role Web Server
(IIS)

Trang 69

Active Directory – Windows Server 2008

2.4. Tạo, xuất, và nhập certificate
1. Tạo server authentication certificate cho web server (WEB)
Thực hiện trên máy Web server (WEB).
B1: Mở IIS Manager -> WEB
B2: Double click Server Certificates

Trang 70

Active Directory – Windows Server 2008

B3: Trong phần Actions chọn Create Self-Signed Certificate

B4: Nhập WEB -> OK

Trang 71

Active Directory – Windows Server 2008

B5: Kiểm tra web server đã có certificate

2. Xuất token-signing certificate cùa account server (DC1) thành file
Thực hiện trên máy account server (DC1).
B1: Mở Active Directory Federation Services
B2: Right click Federation Service -> Properties

B3: Tab General -> click View

Trang 72

Active Directory – Windows Server 2008

B4: Tab Details -> click Copy to File -> Next

Trang 73

Active Directory – Windows Server 2008

B5: Click No, do not export the private key -> Next

Trang 74

Active Directory – Windows Server 2008

B6: Click DER encoded binary X.509 (.CER) -> Next

Trang 75

Active Directory – Windows Server 2008

B7: Nhập C:\dc1_ts.cer -> Next -> Finish -> OK -> OK -> OK

3. Xuất server authentication certificate của resource server (DC2) thành file
Thực hiện trên máy resource server (DC2).
B1: Mở IIS Manager -> DC2
B2: Double click Server Certificates

Trang 76

Active Directory – Windows Server 2008

B3: Right click DC2.java.fithou.net -> Export

Trang 77

Active Directory – Windows Server 2008

B4: Nhập C:\DC2.pfx vào mục Export to, nhập password và confirm password -> OK

4. Nhập server authentication certificate của resource server (DC2) vào web server
(WEB)
Thực hiện trên máy web server (WEB).
B1: Start -> Run -> mmc -> OK
B2: Click menu File -> Add/Remove Snap-in
B3: Click Certificates -> Add -> Computer account -> Next -> Local computer -> Finish ->
OK

B4: Certificates (Local Computer) -> Trusted Root Certification Authorities -> Right click
Certificates -> All Tasks -> Import -> Next

Trang 78

Active Directory – Windows Server 2008

B5: Nhập \\dc2\c$\dc2.pfx -> Next

B6: Nhập password -> Next

Trang 79

Active Directory – Windows Server 2008

B7: Next -> Finish -> OK

Trang 80

Active Directory – Windows Server 2008

B8: Kiểm tra thấy đã có certificate của resource server (DC2)

3.

Cấu hình web server

Thực hiện trên máy web server (WEB).
3.1. Cấu hình IIS trên web server

Trang 81

Active Directory – Windows Server 2008

B1: Mở IIS Manager -> WEB -> Sites -> Right click Default Web Site -> Edit Bidings

B2: Click Add

B3: Mục Type chọn https, mục SSL certificate chọn WEB -> OK -> Close

Trang 82

Active Directory – Windows Server 2008

B4: Double click SSL Settings

B5: Chọn Require SSL, mục Client certificates chọn Accept -> Apply

Trang 83

Active Directory – Windows Server 2008

3.2. Tạo và cấu hình ứng dụng
B1: Tạo folder claimapp trong C:\inetpub\wwwroot. Chép 3 file ... vào folder
C:\inetpub\wwwroot\ claimapp
B2: Mở IIS Manager -> WEB -> Sites -> Right Default Web Site -> Add Application

Trang 84

Active Directory – Windows Server 2008

B3: Mục Alias nhập ClaimApp, mục Application pool chọn Classic .NET AppPool, mục
Physical path chọn C:\inetpub\wwwroot\claimapp -> OK

4.

Cấu hình federation server

4.1. Cấu hình federation service cho domain fithou.net (account domain)
Thực hiện trên máy account server (DC1).
1. Cấu hình trust policy cho domain fithou.net
B1: Mở AD FS -> Federation Service -> right click Trust Policy -> Properties

Trang 85

Active Directory – Windows Server 2008

B2: Tab General, mục Federation Service URI, nhập urn:federation:fithou

B3: Tab Display Name, mục Display name for this trust policy, nhập dc1 -> OK

Trang 86

Active Directory – Windows Server 2008

2. Tạo group cho ứng dụng
B1: Federation Service -> Trust Policy -> My Organization -> right click Organization
Claims -> New -> Organization Claim

B2: Mục Claim name, nhập java.fithou.net ClaimApp Claim -> OK

B3: Xác nhận đã có “java.fithou.net ClaimApp Claim”

Trang 87

Active Directory – Windows Server 2008

3. Thêm và cấu hình AD DS account store
Thêm AD DS account store
B1: Federation Service -> Trust Policy -> My Organization -> right click Account Stores ->
New -> Account Store -> Next

B2: Click Next

Trang 88

Active Directory – Windows Server 2008

B3: Click Next -> Finish

Trang 89

Active Directory – Windows Server 2008

B4: Xác nhận AD DS account store đã được thêm vào

Cấu hình AD DS account store
B1: Federation Service -> Trust Policy -> My Organization -> Account Stores -> right click
Active Directory -> New -> Group Claim Extraction

B2: Click Add -> nhập TreyClaimAppUsers -> OK -> OK

Trang 90

Active Directory – Windows Server 2008

B3: Xác nhận đã có group TreyClaimAppUsers

4.2. Cấu hình federation service cho domain java.fithou.net (resource domain)
Thực hiện trên máy resource server (DC2).
1. Cấu hình trust policy cho domain java.fithou.net
B1: Mở AD FS -> Federation Service -> right click Trust Policy -> Properties

Trang 91

Active Directory – Windows Server 2008

B2: Tab General, mục Federation Service URI nhập urn:federation:java.fithou

B3: Tab Display Name, mục Display name for this trust policy nhập dc2 -> OK

Trang 92

Active Directory – Windows Server 2008

2. Tạo group cho ứng dụng
B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click
Organization Claims -> New -> Organization Claim

B2: Mục Claim name nhập fithou ClaimApp Claim -> OK

Trang 93

Active Directory – Windows Server 2008

B3: Xác nhận đã có “fithou ClaimApp Claim”

3. Thêm AD DS account store
B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click Account
Stores -> New -> Account Stores -> Next

Trang 94

Active Directory – Windows Server 2008

B2: Next

B3: Next -> Finish

Trang 95

Active Directory – Windows Server 2008

B4: Xác nhận AD DS account store đã được thêm vào

4. Thêm và cấu hình ứng dụng
Thêm ứng dụng
B1: AD FS -> Federation Service -> Trust Policy -> My Organization -> right click
Applications -> New -> Application -> Next

Trang 96

Active Directory – Windows Server 2008

B2: Click Next

B3: Mục Application display name nhập Claims-aware Application. Mục Application URL
nhập https://web.java.fithou.net/claimapp/ -> Next

Trang 97

Active Directory – Windows Server 2008

B4: Chọn User principal name (UPN) -> Next

Trang 98

Active Directory – Windows Server 2008

B5: Click Next -> Finish

B6: Xác nhận ứng dụng đã được thêm vào

Cấu hình ứng dụng
B1: Trong Applications -> Claims-aware Application -> right click fithou ClaimApp Claim
-> Enable

Trang 99

Active Directory – Windows Server 2008

B2: Xác nhận ứng dụng đã được enable

4.3. Cấu hình federation trust
1. Xuất trust policy từ nn34
B1: AD FS -> Federation Service -> right click Trust Policy -> Export Basic Partner Policy

Trang 100

Active Directory – Windows Server 2008

B2: Click Browse -> nhập C:\dc1 -> Save -> OK

2. Nhập trust policy fithou vào java.fithou
B1: AD FS -> Federation Service -> Trust Policy -> Partner Organizations -> righr click
Account Partners -> New -> Account Partner -> Next

B2: Mục Partner interoperability policy file nhập \\dc1\c$\dc1.xml -> Next

Trang 101

Active Directory – Windows Server 2008

B3: Click Next

Trang 102

Active Directory – Windows Server 2008

B4: Click Next

B5: Click Next

Trang 103

Active Directory – Windows Server 2008

B6: Click Next

B7: Nhập fithou.net -> Add -> Next

Trang 104

Active Directory – Windows Server 2008

B8: Nhập fithou.net -> Add -> Next

Trang 105

Active Directory – Windows Server 2008

B9: Click Next -> Finish

B10: Account Partner đã được thêm vào

3. Tạo một claim mapping trong java.fithou
Máy DC2
B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> Account
Partners -> right click dc1 -> New -> Incoming Group Claim Mapping

Trang 106

Active Directory – Windows Server 2008

B2: Mục Incoming group claim name nhập ClaimAppMapping -> OK

B3: ClaimAppMapping đã được thêm vào

Trang 107

Active Directory – Windows Server 2008

4. Xuất partner policy từ java.fithou
Máy DC2.
B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> Account
Partners -> right click dc1 -> Export Policy

B2: Click Browse -> nhập C:\dc2 -> Save -> OK

5. Nhập partner policy java.fithou sang fithou
Máy DC1.

Trang 108

Active Directory – Windows Server 2008

B1: ADFS -> Federation Service -> Trust Policy -> Partner Organizations -> right click
Resource Partners -> New -> Resource Partner -> Next

B2: Click Yes -> mục Partner interoperability policy file nhập \\dc2\c$\dc2.xml -> Next

Trang 109

Active Directory – Windows Server 2008

B3: Click Next

B4: Click Next

Trang 110

Active Directory – Windows Server 2008

B5: Click Next

B6: Chọn “Replace all UPN suffixes with the following” và Nhập fithou.net NEXT

Trang 111

Active Directory – Windows Server 2008

B7: Click Next

Trang 112

Active Directory – Windows Server 2008

B8: Mục Mapping chọn java.fithou ClaimApp Claim -> Next

B9: Click Next -> Finish

Trang 113

Active Directory – Windows Server 2008

B10: Resource Partner đã được thêm vào

5.

Truy cập ứng dụng từ máy client

5.1. Cấu hình IE để tin cậy server dc1.fithou.net
Máy client may1.fithou.net
B1: Logon u1
B2: Mở IE -> Tools -> Internet Options -> Security -> Local Intranet -> Sites -> Advanced ->
Add this Web site to the zone: nhập https://dc1.fithou.net -> Add -> OK -> OK -> OK

5.2. Truy cập ứng dụng từ client Windows XP
Máy client may1.fithou.net
B1: Logon u1
B2: Mở IE -> nhập https://web.java.fithou.net/claimapp -> mục Choose your home realm
chọn dc1 -> Submit

Trang 114

Active Directory – Windows Server 2008

B3: Xuất hiện ứng dụng SSO Sample

Trang 115

Active Directory – Windows Server 2008

1.6.4

Cấu hình federation server

1.6.5

Truy cập ứng dụng từ máy client

Trang 116

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close